Настройка узлов для динамической миграции без отказоустойчивой кластеризации

Динамическая миграция позволяет перемещать виртуальные машины между серверами с минимальным временем простоя. В этой статье показано, как настроить некластеризованные узлы для динамической миграции в Hyper-V, включая параметры проверки подлинности, конфигурацию сети и рекомендации по обеспечению безопасности. Используйте эти действия, если вы не настроите динамическую миграцию во время установки Hyper-V или необходимо обновить параметры.

Требования к настройке динамической миграции

Чтобы настроить некластеризованные узлы для динамической миграции, вам потребуется:

• Членство в локальной группе администраторов Hyper-V или группе администраторов на исходных и конечных компьютерах соответствует этому требованию, если только вы не настроите ограниченное делегирование. Членство в группе "Администраторы домена" требуется для настройки ограниченного делегирования.

• Роль Hyper-V в Windows Server, установленной на исходных и целевых серверах. Вы можете запустить динамическую миграцию между узлами под управлением Windows Server 2012 R2 и более поздних версий. Инструкции по установке см. в разделе "Установка роли Hyper-V" на Windows Server.

• Исходные и конечные компьютеры, принадлежащие одному домену Active Directory, или к доменам, которые доверяют друг другу.

• Средства управления Hyper-V, установленные на компьютере под управлением Windows Server 2016 или Windows 10, если средства не установлены на исходном или целевом сервере, и вы запускаете средства с сервера.

Рассмотрите варианты проверки подлинности и сети

Определите, как настроить параметры проверки подлинности, производительности и сети.

• Проверка подлинности. Какой протокол используется для проверки подлинности трафика динамической миграции между исходным и целевым сервером? Протокол, который вы выбираете, определяет, нужно ли войти на исходный сервер перед началом динамической миграции:

  • Kerberos позволяет избежать входа на сервер, но требует настройки ограниченного делегирования. Дополнительные сведения см. в следующих инструкциях.

  • CredSSP позволяет избежать настройки ограниченного делегирования, но требует входа на исходный сервер. Это можно сделать с помощью локального сеанса консоли, сеанса удаленного рабочего стола или удаленного сеанса Windows PowerShell.

    CredSSP требует входа в ситуации, которые не всегда очевидны. Например, если вы войдете в TestServer01 для перемещения виртуальной машины в TestServer02, а затем хотите переместить виртуальную машину обратно в TestServer01, необходимо войти в TestServer02, прежде чем попытаться переместить виртуальную машину обратно в TestServer01. Если это не так, попытка проверки подлинности завершается ошибкой, возникает ошибка, и вы увидите следующее сообщение:

    "Сбой операции миграции виртуальных машин в источнике миграции. Не удалось установить подключение с именем компьютера узла: учетные данные не доступны в пакете безопасности 0x8009030E".

• Производительность. Следует ли настроить параметры производительности? Эти параметры могут сократить использование сети и ЦП и ускорить миграцию в реальном времени. Проверьте требования и инфраструктуру и проверьте различные конфигурации, чтобы решить. Параметры описаны в конце шага 2.

• Предпочтения сети. Разрешить ли динамический трафик миграции через любую доступную сеть или изолировать трафик для определенных сетей? Рекомендуется изолировать трафик в доверенных частных сетях, так как динамический трафик миграции не шифруется при отправке по сети. Вы можете изолировать сеть с помощью физически изолированной сети или другой доверенной сетевой технологии, например виртуальных ЛС.

Обновление до Windows Server 2025

Начиная с Windows Server 2025 , Credential Guard включен по умолчанию на всех присоединенных к домену серверах, которые не являются контроллерами домена. Из-за этого нельзя использовать динамическую миграцию на основе CredSSP с Hyper-V после обновления до Windows Server 2025. Делегирование на основе CredSSP используется по умолчанию для Windows Server 2022 и более ранних версий для динамической миграции. Вместо этого используйте ограниченное делегирование Kerberos, как описано в следующем разделе. Дополнительные сведения см. в статье о динамической миграции с разрывами Hyper-V при обновлении до Windows Server 2025.

Шаг 1. Настройка ограниченного делегирования (необязательно)

Если вы решите использовать Kerberos для проверки подлинности трафика динамической миграции, настройте ограниченное делегирование с помощью учетной записи, являющейся членом группы администраторов домена.

Настройка ограниченного делегирования с помощью оснастки "Пользователи и компьютеры"

1. Откройте оснастку "Active Directory - пользователи и компьютеры". В диспетчере серверов выберите сервер, а затем выберите сервис>Active Directory Users and Computers.

2. В области навигации в active Directory Users and Computers выберите домен, а затем дважды щелкните папку "Компьютеры ".

3. В папке "Компьютеры" щелкните правой кнопкой мыши учетную запись компьютера исходного сервера и выберите пункт "Свойства".

4. В разделе "Свойства" выберите вкладку "Делегирование ".

5. На вкладке "Делегирование " выберите "Доверять этому компьютеру" только для делегирования указанных служб, а затем выберите "Использовать любой протокол проверки подлинности".

6. Нажмите кнопку "Добавить".

7. В разделе "Добавление служб" выберите "Пользователи" или "Компьютеры".

8. В поле "Выбор пользователей или компьютеров" введите имя целевого сервера. Нажмите кнопку "Проверить имена" , чтобы проверить ее, а затем нажмите кнопку "ОК".

9. В списке доступных служб в списке доступных служб выполните следующие действия и нажмите кнопку "ОК".

   • Чтобы переместить хранилище виртуальных машин, выберите cifs. Это необходимо, если требуется переместить хранилище вместе с виртуальной машиной, и если вы хотите переместить только хранилище виртуальной машины. Если сервер настроен для использования хранилища SMB для Hyper-V, этот параметр уже должен быть выбран.

   • Для перемещения виртуальных машин выберите Службу миграции виртуальной системы Майкрософт.

10. На вкладке "Делегирование " диалогового окна "Свойства" убедитесь, что выбранные на предыдущем шаге службы перечислены в качестве служб, для которых конечный компьютер может представлять делегированные учетные данные. Нажмите ОК.

11. В папке "Компьютеры" выберите учетную запись компьютера целевого сервера и повторите процесс. В диалоговом окне "Выбор пользователей или компьютеров" обязательно укажите имя исходного сервера.

Изменения конфигурации вступили в силу после:

• Изменения реплицируются на контроллеры домена, в которые вошли серверы, работающие Hyper-V.
• Контроллер домена выдает новый билет Kerberos.

Шаг 2. Настройка исходных и целевых компьютеров для динамической миграции

На этом шаге рассматриваются параметры проверки подлинности и сети. Для повышения безопасности выберите определенные сети для динамического трафика миграции, как описано ранее. Вы также можете выбрать вариант производительности на этом шаге.

Использование диспетчера Hyper-V для настройки исходных и целевых компьютеров для динамической миграции

1. Откройте диспетчер Hyper-V. В диспетчере серверов выберите сервис>Hyper-V Manager.

2. В области навигации выберите сервер. Если он не указан, щелкните правой кнопкой мыши диспетчерHyper-V, выберите "Подключиться к серверу", введите имя сервера и нажмите кнопку "ОК". Повторите добавление дополнительных серверов.

3. В области действий выберите Hyper-V Параметры динамической миграции>.

4. На панели "Динамические миграции" выберите "Включить входящие и исходящие динамические миграции".

5. В разделе Одновременные динамические миграции введите другое число, если вы не хотите использовать значение по умолчанию 2.

6. В разделе "Входящие динамические миграции", если вы хотите использовать определенные сетевые подключения для приема трафика динамической миграции, выберите "Добавить ", чтобы ввести надстройку IP-адреса1. Чтобы задать параметры Kerberos и производительности, разверните динамические миграции и выберите дополнительные функции.

   • Если вы настроили ограниченное делегирование, в разделе "Протокол проверки подлинности" выберите Kerberos.
   • В разделе "Параметры производительности" просмотрите сведения и выберите другой вариант, если он соответствует параметрам environment.ce**, просмотрите сведения и выберите другой вариант, если он подходит для вашей среды.

7. Нажмите ОК.

8. Выберите другой сервер в диспетчере Hyper-V и повторите эти действия.

Настройка исходных и целевых компьютеров для динамической миграции с помощью Windows PowerShell

Для настройки динамической миграции на некластеризованных узлах можно использовать три командлета: Enable-VMMigration, Set-VMMigrationNetwork и Set-VMHost. В этом примере используются все три:

• Настройка динамической миграции на локальном узле
• Разрешить входящий трафик миграции только в определенной сети
• Выбор Kerberos в качестве протокола проверки подлинности

Каждая строка является отдельной командой.

PS C:\> Enable-VMMigration

PS C:\> Set-VMMigrationNetwork 192.168.10.1

PS C:\> Set-VMHost -VirtualMachineMigrationAuthenticationType Kerberos

Set-VMHost также позволяет выбрать параметр производительности и другие параметры узла. Например, чтобы выбрать SMB, но сохранить протокол проверки подлинности по умолчанию CredSSP, введите:

PS C:\> Set-VMHost -VirtualMachineMigrationPerformanceOption SMB

В этой таблице описывается, как работают параметры производительности.

Дальнейшие шаги

После настройки узлов вы готовы выполнить динамическую миграцию. Инструкции см. в статье "Использование динамической миграции без отказоустойчивой кластеризации для перемещения виртуальной машины".